Bonsoir !

voila il se trouve que je me suis fait attaquer par un chinois et un ukrenien.

il on tenter le brutforce sur mon SSH 

une fois détécter je les ai directement bannis avec IPtable

mais il se trouve que depuis cette attaque j'ai plus ou moins 400 IP/service differante qui se connecte a mon serveur et du coups qui me bouffe ma bande passante.

si vous avez une idée pour arrter ça ...

(j'ai deja installer fail2ban et securisé mon SSH avec auccune connection en root par d'autre IP que la mienne ou en clef SSH générée par puttygen. )

Bonsoir ,

Alors c'est déjà bien car tu as déjà fait une bonne partie c'est à dire :

- Fail2ban

- Interdire l'authentification par root

- Authentification par clé (uniquement)

Ce que tu peux rajouter c'est changer le port SSH exemple 222 .

-
Edité par Doezer 30 janvier 2015 à 9:44:42

Hey hey !

l'auth par clef est dispo mais pour ce connecter en root avec mot de passe il faut que ce soit mon IP qui tente la connection si non c'est refusée.

(j'ai surtout mis la clef SSH pour me connecter via mon téléphone.)

ça depend mais en générale je les retrouve sur le auth.log

et je vais changer le port pour etre sur  et merci pour le GeoIP ban parce que ban les chinois un a un c'est long j'ai passer 8 heures hiere a le faire.

je peut vous dire que j'ai bien ban 1 quart du pays !

Bonjour,

Sur les services que je juge "sensibles", j'aime bien mettre en place du port knocking.

Il existe un service qui permet de configurer ça très facilement.

Dans le principe : le port (ici est SSH) est fermé et il ne s'ouvre qu'un court instant si tu essayes d'accéder à plusieurs ports dans un ordre précis.

Ex : tu essayes d'accéder au port 3000 puis au 2781 puis au 9000 ..., knockd détecte la bonne combinaison et t'ouvre la porte.

Toute personne qui ouvre d'autres ports ou ceux ci dans le désordre voit le port SSH "fermé".

Ouais pas mal cette idée j'aime bien !

Merci !